经过一系列远程攻击,西部数据(WD)敦促 My Book 用户立即断开互联网连接。官方公告发布 6 月 24日发布,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)该设备可以通过出厂重置远程擦除,使用户面临丢失所有存储数据的风险。
在公告中写道:“西部数据已经确定,有些 My Book Live 和 My Book Live Duo 设备受到远程命令执行漏洞的影响。在某些情况下,攻击者触发了工厂重置,似乎删除了设备上的所有数据”。目前使用的漏洞编号为 CVE-2018-18472,这是一个根远程命令执行(RCE)漏洞,在 CVSS 严重性评级为 9.8。
攻击者可以用 root 远程操作,可触发重置和擦除便携式存储设备上的所有内容。这些设备于2010年首次亮相,最终固件更新于2015年。当产品进入报废期时,它们通常无权获得新的安全更新。
正如Bleeping Computer在第一次报道中,论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失。一位论坛用户认为,自己 "完全完蛋了"。
另一位用户评论道:“我愿意拿出我一生的积蓄来获取我的博士论文数据,我的孩子和死去的亲戚的新照片,我写的旅行博客,以及我过去七个月的所有合同工作。我甚至不敢想这会对我的职业生涯产生什么影响,因为我失去了所有的项目数据和文件...”。
论坛用户在撰写本文时,正在交易潜在的恢复方法和想法,并取得不同程度的成功。西部数据说:“为了进一步确定攻击和访问机制的特点,我们正在审查受影响客户收到的日志文件”。
到目前为止,这些日志文件显示,My Book Live该设备通过直接在线连接或端口转发在全球范围内受到攻击。WizCase这个漏洞的概念验证之前已经公布了(PoC)代码。在某些情况下,攻击者还安装了木马程序,样本已上传到VirusTotal。
My Book Live该设备被认为是唯一参与广泛攻击的产品。云服务、固件更新系统和西部数据的客户信息被认为没有泄露。西部数据敦促客户尽快从互联网上撤出他们的设备。
西部数据说:"我们知道我们客户的数据非常重要。"我们不明白为什么攻击者触发了工厂重置;然而,我们已经获得了受影响设备的样本,并正在进一步调查中"。该公司还在调查受影响客户的潜在恢复计划。